8
Dlink WLAN-intern und WLAN-gast über Netgear Switch an pfsense mit VLANs
Hallo,
Ich habe aktuell eine Konfiguration aus pfsense als Firewall / Router APU1D4, Netgear Switch GS724Tv4 für verkabelte Clients und mehrere DLINK DAP-2310 als WLAN-Accesspoint für meine kabellosen Clients. Ich habe 2 der Switche, welche untereinander mit LWL verbunden sind. Der Router hängt am ersten. Die 3 APs sowohl am ersten als auch am zweiten.
Alles läuft unter dem Netz: 10.6.40.0/24
Bis hierhin funktioniert auch alles wunderbar. So sieht das aus:
Ich möchte nun mein Netz um einen Gastzugang erweitern. Es soll ein 2. WLAN geben (der DAP-2310 kann Multi-SSID)
Die Gäste sollen aber nicht in das interne Netz kommen dürfen. Lediglich Internetzugriff ist gestattet.
Ich habe verstanden, dass ich dies wohl über VLANs lösen muss, da der AP nur einen Ethernetport hat.
Verstanden habe ich zwar wie dies mit VLANs funktioniert, ich scheitere aber daran, das auf allen Geräten zu konfigurieren.
Was genau muss ich denn im Switch eintragen und welche Ports muss ich tagged / untagged markieren?
Bisher habe ich folgendes versucht:
Auf dem AP 2 SSIDs erstellt. ein internes mit VLAN-Tag 1 und ein Gast mit VLAN 4
Auf pfsense 2 neue VLANs angelegt: Interface - assign - VLAN - Tag 1 = intern, Tag 4 = gast
neues Interface "GAST" mit dem erstellten VLAN 4 erzeugen.
Wenn ich nun Interface LAN auf mein erstelltes VLAN 1 intern umstelle, erreiche ich den Router garnicht mehr.
Vermutlich muss der Switch erst noch konfiguriert werden. Aber was genau und wie stelle ich da ein?
Hier sind die Optionen welche ich bisher getroffen habe: (VLAN 4 angelegt)
Welche Ports nun tagged oder untagged?
Danke schon einmal für eure Hilfe!
Ich habe aktuell eine Konfiguration aus pfsense als Firewall / Router APU1D4, Netgear Switch GS724Tv4 für verkabelte Clients und mehrere DLINK DAP-2310 als WLAN-Accesspoint für meine kabellosen Clients. Ich habe 2 der Switche, welche untereinander mit LWL verbunden sind. Der Router hängt am ersten. Die 3 APs sowohl am ersten als auch am zweiten.
Alles läuft unter dem Netz: 10.6.40.0/24
Bis hierhin funktioniert auch alles wunderbar. So sieht das aus:
Ich möchte nun mein Netz um einen Gastzugang erweitern. Es soll ein 2. WLAN geben (der DAP-2310 kann Multi-SSID)
Die Gäste sollen aber nicht in das interne Netz kommen dürfen. Lediglich Internetzugriff ist gestattet.
Ich habe verstanden, dass ich dies wohl über VLANs lösen muss, da der AP nur einen Ethernetport hat.
Verstanden habe ich zwar wie dies mit VLANs funktioniert, ich scheitere aber daran, das auf allen Geräten zu konfigurieren.
Was genau muss ich denn im Switch eintragen und welche Ports muss ich tagged / untagged markieren?
Bisher habe ich folgendes versucht:
Auf dem AP 2 SSIDs erstellt. ein internes mit VLAN-Tag 1 und ein Gast mit VLAN 4
Auf pfsense 2 neue VLANs angelegt: Interface - assign - VLAN - Tag 1 = intern, Tag 4 = gast
neues Interface "GAST" mit dem erstellten VLAN 4 erzeugen.
Wenn ich nun Interface LAN auf mein erstelltes VLAN 1 intern umstelle, erreiche ich den Router garnicht mehr.
Vermutlich muss der Switch erst noch konfiguriert werden. Aber was genau und wie stelle ich da ein?
Hier sind die Optionen welche ich bisher getroffen habe: (VLAN 4 angelegt)
Welche Ports nun tagged oder untagged?
Danke schon einmal für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274826
Url: https://administrator.de/contentid/274826
Printed on: April 19, 2024 at 06:04 o'clock
8 Comments
Latest comment
Das hiesige, sehr detailierte Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell im Kapitel "Praxisbeispiel" ist genau dein Szenario beschrieben !
Beachte auch die Weiterführenden Links am Schluss die zum Setup noch diverse Tips geben auf LAN Switches auch mit funktionsfähigen Konfigs !
Besonders die Ausführungen für die recht kranke VLAN Konfig auf den üblen NetGear Gurken.
Das sollte alle deine Fragen beantworten und das Netz zum Fliegen bringen.
Die Gast WLAN Einrichtung der pfSense findest du wie immer hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Gast Voucher Verteilung per WebGUI und SMS hier:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Fehler:
Generell kannst du dir die VLAN Konfig auf der pfSense sparen (nicht an den APs !) denn du hast ja 3 Ports auf dem APU1D. Nimm einfach den 3ten Port OPT1 gib dem ein IP Netz und stecke den in einen Port am Switch der dem VLAN 4 zugeordnet ist ! (untagged)
Das wäre doch das einfachste.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell im Kapitel "Praxisbeispiel" ist genau dein Szenario beschrieben !
Beachte auch die Weiterführenden Links am Schluss die zum Setup noch diverse Tips geben auf LAN Switches auch mit funktionsfähigen Konfigs !
Besonders die Ausführungen für die recht kranke VLAN Konfig auf den üblen NetGear Gurken.
Das sollte alle deine Fragen beantworten und das Netz zum Fliegen bringen.
Die Gast WLAN Einrichtung der pfSense findest du wie immer hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Gast Voucher Verteilung per WebGUI und SMS hier:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Die Gäste sollen aber nicht in das interne Netz kommen dürfen. Lediglich Internetzugriff ist gestattet.
Ja, das ist kein Problem. Idealerweise errichtest du ein Captive Portal auf der pfSense mit Einmalpasswörtern für die Gäste.Ich habe verstanden, dass ich dies wohl über VLANs lösen muss, da der AP nur einen Ethernetport hat.
Ja, das ist richtig !Was genau muss ich denn im Switch eintragen und welche Ports muss ich tagged / untagged markieren?
Das ist ganz einfach:- Zuerst das VLAN 4 auf beiden Switches einrichten
- Dann den Glas Uplink zwischen den Switches auf tagged umstellen für das VLAN 4 auf beiden Seiten.
- Je 1 Port pro Switch zum testen in das VLAN 4 setzen um zu testen das VLAN 4 Verbindung sauber Switchübergreifend funktioniert.
- APs mit den beiden SSIDs einrichten wie du gemacht hast und dem Gast WLAN die VLAN ID 4 zuweisen.
- Achtung der AP versieht alle Pakete aus dem Gast WLAN dann mit einem VLAN 4 Tag ! Folglich muss also jeder Accesspoint Port an dem deine Gast SSID konfiguriert ist tagged in das VLAN 4 gelegt werden ! Die andere SSID sendet in VLAN 1 was immer per Default untagged an diesem Port anliegt. Analog zu den Uplink Ports zw. den Switches.
- Desgleichen muss der pfSense Port auch tagged sein. Es sei denn du legst das Gast Netz auf einen dedizierten Port an der pfSense. Da du dort ja 3 hast leg es auf den OPT1 Port und den steckst du untagged in einen Switchport der dem VLAN 4 zugeordnet ist. Das erspart dir die tagged Konfig am pfSense Port die du ja nicht machen musst da du einen Port frei hast !
Fehler:
Auf pfsense 2 neue VLANs angelegt: Interface - assign - VLAN - Tag 1 = intern, Tag 4 = gast
Das muss man nicht, denn das Basis VLAN am pfSense Port ist immer das VLAN 1 sprich das Default VLAN. Dieses VLAN 1 wird bei allen Switches immer untagged übertragen, sprich man muss dafür kein dediziertes VLAN einrichten.Generell kannst du dir die VLAN Konfig auf der pfSense sparen (nicht an den APs !) denn du hast ja 3 Ports auf dem APU1D. Nimm einfach den 3ten Port OPT1 gib dem ein IP Netz und stecke den in einen Port am Switch der dem VLAN 4 zugeordnet ist ! (untagged)
Das wäre doch das einfachste.
Danke aqui.
Ich werde mir das alles mal in Ruhe anschauen.
Ich werde mir das alles mal in Ruhe anschauen.
Sollte dich auch im Handumdrehen zum Erfolg führen 
Sieht schon mal gut aus.
Ich habe im Moment einfach nur das Problem das ich nicht in das Menü "VLAN Membership" hineinkomme.
Ich habe schon alle möglichen Browser probiert. Selbst von unterschiedlichen PCs.
In ganz seltenen Fällen geht es zwar mal auf, aber wenn ich dann auf VLAN 4 wechsel, bleibt die Seite hängen.
Da hat ja Netgear etwas tolles programmiert -.-
Das selbe Problem bei beiden Switches. Aktuelle Firmware habe ich auch eben installiert, es ändert sich nichts am Fehler.
Jemand noch einen Tipp, wie man das VLAN anders konfigurieren kann?
CLI geht zwar - aber da finde ich keine gute Anleitung.
Ich habe im Moment einfach nur das Problem das ich nicht in das Menü "VLAN Membership" hineinkomme.
Ich habe schon alle möglichen Browser probiert. Selbst von unterschiedlichen PCs.
In ganz seltenen Fällen geht es zwar mal auf, aber wenn ich dann auf VLAN 4 wechsel, bleibt die Seite hängen.
Da hat ja Netgear etwas tolles programmiert -.-
Das selbe Problem bei beiden Switches. Aktuelle Firmware habe ich auch eben installiert, es ändert sich nichts am Fehler.
Jemand noch einen Tipp, wie man das VLAN anders konfigurieren kann?
CLI geht zwar - aber da finde ich keine gute Anleitung.
das Problem das ich nicht in das Menü "VLAN Membership" hineinkomme.
Von WELCHEM Gerät bei dir redest du denn da ??geht es zwar mal auf, aber wenn ich dann auf VLAN 4 wechsel, bleibt die Seite hängen.
Hört sich nach dem Switch an und den üblichen NetGear Problemen.Frage: Hast du die Switchfirmware auf die aktuellste Version geflasht ??? (OK, ja...gerade gelesen)
http://support.netgear.de/product/GS724Tv4
6.3.1.9 ist aktuell. Bei dir hört sich das nach einem GUI Bug an !
Testweise mal einen anderen Browser versucht ?? Firefox, Chrome ??
Bleibt dir sonst nur das CLI. Wenn das so grottig wie NetGears GUI ist dann gute Nacht...
Danke aqui hat nun alles geklappt.
Ich habe es dann über die PVID Configuration lösen können.
Ist zwar nicht so schön wie über VLAN Membership - aber ging letztendlich auch.
Ich habe es dann über die PVID Configuration lösen können.
Ist zwar nicht so schön wie über VLAN Membership - aber ging letztendlich auch.
Ist auch der einzige Weg bei NetGear !
Gut wenn nun alles klappt wie es soll
Gut wenn nun alles klappt wie es soll
Hallo zusammen,
Dann muss man das gesamte LAG dem VLAN hinzufügen und nicht die einzelnen Switch Ports!
Steht aber auch so in der Bedienungsanleitung.
Gruß
Dobby
ch habe 2 der Switche, welche untereinander mit LWL verbunden sind.
Ist das ein LAG (LACP)?Dann muss man das gesamte LAG dem VLAN hinzufügen und nicht die einzelnen Switch Ports!
Steht aber auch so in der Bedienungsanleitung.
Gruß
Dobby
